Hack do Drift Protocol: Como um Grupo Norte-Coreano Passou Seis Meses Infiltrando um Protocolo DeFi

TLDR:
O Drift Protocol congelou todas as funções após uma exploração direcionada em 1º de abril de 2026, ligada a um grupo apoiado pelo estado.
Os atacantes se passaram por uma empresa de negociação por seis meses, encontrando contribuintes pessoalmente em vários países.
Três vetores de ataque foram identificados, incluindo uma falha de execução de código silenciosa nos editores VSCode e Cursor.
A SEAL911 atribuiu o ataque com confiança média-alta ao UNC4736, um ator de ameaça afiliado ao estado norte-coreano.
O Drift Protocol sofreu uma grande exploração em 1º de abril de 2026, desencadeando uma paralisação total do protocolo. O incidente foi revelado como uma operação de inteligência estruturada, que durou meses.
Parceiros forenses, incluindo a Mandiant, estão auxiliando as autoridades na investigação da violação. Descobertas preliminares apontam para um grupo de ameaças afiliado ao estado norte-coreano como os prováveis perpetradores.
Isso marca uma das campanhas de engenharia social mais deliberadas documentadas em finanças descentralizadas até hoje.
Uma Campanha de Engenharia Social de Seis Meses
O ataque ao Drift Protocol não começou no dia em que ocorreu. Ele remonta ao outono de 2025, quando os contribuidores foram abordados em uma grande conferência de criptomoedas.
O grupo se apresentou como uma empresa de trading quantitativo buscando integração de protocolo. Eles eram tecnicamente fluentes e tinham históricos profissionais verificáveis.
Nos meses seguintes, indivíduos deste grupo continuaram a se encontrar com os contribuidores do Drift pessoalmente. Esses encontros ocorreram em várias conferências da indústria em vários países.
Um grupo no Telegram foi estabelecido desde a primeira reunião. O que se seguiu foram meses de conversas detalhadas sobre estratégias de negociação e integrações de cofre.
De dezembro de 2025 até janeiro de 2026, o grupo integrou um Ecosystem Vault no protocolo. Eles depositaram mais de $1 milhão de seu próprio capital e participaram de várias sessões de trabalho.
Até fevereiro e março de 2026, o protocolo observou que “estes não eram estranhos; eram pessoas com quem os contribuidores do Drift trabalharam e se encontraram pessoalmente.” Links para projetos, ferramentas e aplicações foram rotineiramente compartilhados durante este período.
A investigação revelou mais tarde que “os perfis usados nesta operação tinham identidades totalmente construídas, incluindo históricos de emprego, credenciais públicas e redes profissionais.”
Contribuidores se envolveram com eles em discussões detalhadas sobre produtos. Isso construiu uma presença operacional credível dentro do ecossistema Drift ao longo do tempo.
Três Vetores de Ataque e Atribuição Norte-Coreana
Após a exploração de 1 de abril, uma revisão forense dos dispositivos afetados e comunicações sinalizou o grupo de trading como o provável vetor de intrusão.
Os chats do Telegram e o software malicioso foram completamente apagados logo após o ataque. Três vetores de ataque potenciais surgiram desde então na investigação em andamento.
Um contribuidor pode ter clonado um repositório de código compartilhado pelo grupo. Ele foi apresentado como um deployment frontend para seu cofre. Outro contribuidor foi induzido a baixar um aplicativo TestFlight enquadrado como o produto de carteira do grupo.
Quanto ao vetor baseado em repositório, “simplesmente abrir um arquivo, pasta ou repositório no editor foi suficiente para executar silenciosamente código arbitrário, sem aviso ou indicação ao usuário, cliques, diálogo de permissões ou aviso de qualquer tipo.”
A análise forense completa do hardware afetado ainda está em andamento. O Drift desde então instou o ecossistema mais amplo a “verificar suas equipes, auditar quem tem acesso ao que e tratar cada dispositivo que toca seu multisig como um potencial alvo.”
Com confiança média-alta, a equipe SEALS 911 avaliou isso como o trabalho do UNC4736. Esse grupo é um ator afiliado ao estado norte-coreano rastreado como AppleJeus ou Citrine Sleet.
Os fluxos de fundos on-chain e as personas sobrepostas conectam esta campanha ao hack do Radiant Capital de outubro de 2024. Os indivíduos que apareceram pessoalmente não eram nacionais norte-coreanos, pois os atores de ameaças da RPDC são conhecidos por usar intermediários de terceiros para contato direto.
O post Drift Protocol Hack: Como um grupo norte-coreano passou seis meses infiltrando um protocolo DeFi apareceu primeiro no Blockonomi.